收藏
下载资源 加入VIP免费专享

XX企业内网安全解决方案.docx

上传人:牧羊曲112 文档编号:4926591 上传时间:2023-05-23 格式:DOCX 页数:21 大小:223.97KB
返回 下载 相关 举报
XX企业内网安全解决方案.docx_第1页
第1页 / 共21页
XX企业内网安全解决方案.docx_第2页
第2页 / 共21页
XX企业内网安全解决方案.docx_第3页
第3页 / 共21页
XX企业内网安全解决方案.docx_第4页
第4页 / 共21页
XX企业内网安全解决方案.docx_第5页
第5页 / 共21页
亲,该文档总共21页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《XX企业内网安全解决方案.docx》由会员分享,可在线阅读,更多相关《XX企业内网安全解决方案.docx(21页珍藏版)》请在三一办公上搜索。

1、XX企业内网安全解决方案2011.041内网信息安全面临的威胁1 -2 内网信息安全产品现状1 -3 内网信息安全体系范畴界定2 -4 CHINASEC可信网络安全平台系列产品的特点3 -5 XX企业内网安全需求分析4 -5.1 员工上网行为管理-5 -5.2 文件操作审计-55.3客户端收发的邮件进行监控-55.4打印系统的监控-55.5移动存储设备的管理-55.6计算机软硬件资产审计,且生成报表-55.7终端数据防泄密-65.8内网安全管理制度和体系的建立-66解决方案6 -6.1设计原则-66.2XX企业内网安全解决方案-66.3终端计算机集中式管理-76.3.1员工上网行为管理-7 -

2、6.3.2 文件操作审计-7 -6.3.3 应用程序管理-7 -6.3.4 实时监控-7 -6.3.5 刻录光驱的控制-7 -6.3.6 客户端收发的邮件进行监控- 8 -6.3.7 打印系统的监控-8 -6.3.8 移动存储设备的管理- 8 -6.3.9 计算机软硬件资产审计,且生产报表-8 -6.4 终端数据防泄密-9-6.4.1 终端数据防泄密- 9 -6.5 规范(文件审批)数据出口 -106.6Chinasec 报表功能-116.7支持在线和离线工作方式-116.8防破解性能-116.9系统平台的安全性-126.10系统兼容性、扩展性-136.11系统配置-136.12 Chinas

3、ec 可信网络安全平台-14 -6.12.1 系统部署示意图-14 -6.12.2 Chinasec可信网络安全平台的结构-14 -6.12.3 Chinasec可信网络安全平台的模块化功能-15 -6.13方案效果-157成功案例16 -8产品资质18 -8.1国家保密局涉密产品认证-188.2军用信息安全产品认证、公安部产品认证、国家信息安全测评中心-18-1内网信息安全面临的威胁随着信息技术特别是网络技术的发展,网络在人们的日常工作中发挥着越来 越重要的作用。目前,大部分企业都组建了内部局域网,实现了资源共享,在方 便信息传递的同时,极大地提高了工作效率。内网已成为企业日常工作不可或缺

4、的重要组成部分。内网开放共享的特点,使得分布在各台主机中的重要信息资源处于一种高风 险的状态,很容易受到来自系统内部和外部的非法访问。而根据FBI和CSI对 484家公司进行的网络安全专项调查结果显示:超过85%的安全威胁来自公司内 部,在损失金额上,由于内部人员泄密导致了 6056.5万美元的损失,是黑客造 成损失的16倍,是病毒造成损失的12倍。另据中国国家信息安全测评认证中心 调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和 外来黑客引起。根据我们的总结分析,来自内部的安全威胁主要有以下几类:窃取者将自己的计算机通过内网网络交换设备或者直连网线非法接入 内网或者计算

5、机终端,窃取内网重要数据;窃取者直接利用局域网中的某一台主机,通过网络攻击或欺骗的手段, 非法取得其他主机甚至是某台网络服务器的重要数据;内部员工将只允许在局域网内部使用的数据通过移动存储设备、磁盘复 制、打印、非法拨号外联等手段泄漏到单位外部;这些安全威胁不是防火墙、入侵检测和防病毒等传统安全手段所能解决的。 应该看到信息安全要立足于终端,从源头抓起,才能从根本上解决安全问题;同 时信息安全也要和应用系统紧密结合,才能做到有的放矢,真正有效地满足各行 业的迫切需求。2内网信息安全产品现状目前市场上存在诸多的内网信息安全产品,主要有两类:监控审计系统和文 档加密系统。其中:监控和审计系统:这类

6、系统虽然提供了一定的网络控制功能,但其重点 是对网络数据进行记录和审计,因此并不能很好地阻止单位信息泄密事 件的发生。一旦泄密事件发生,对单位已经造成损失,此类产品的安全 作用有限。文档加密系统:这类系统主要是采用各种加密软件实现对计算机内某些 格式数据的加密,但是其对网络、计算机、用户的管理不灵活,而且内 网资源众多,需要分别进行权限的设置,管理难度大,尤其当用户权限 发生频繁更换的时候,容易造成漏洞。此类产品并不利于单位内部信息 的安全管理。总之,对于前面提到的内网所面临的潜在威胁,这两类产品还缺乏行之有效 的应对方法。针对这种情况,本公司按照防内为主、内外兼防的思路,专门设计研发了具 备

7、国际先进水平的Chinasec可信网络安全平台系列产品,为企事业单位提供了 一种方便有效的解决方案和管理模式,基本解决了内网信息安全问题。3内网信息安全体系范畴界定腐网口回d凰网踊品内网的概念是相对外网而言。如图一所示,在传统意义上,我们将组织外部 网络,主要指互联网络,视为外网。按经典的安全 理念,外网是不安全的区 域,涉及黑客攻击、网络 窃听等诸多不安全的因 素。相对而言,由于内网 涉及到的是组织内部的信 息化网络,这些网络资产和资产的使用者,是组织内部的人员,按传统的安全理念,内部人员和内部资产 相对而言是可信、可控的。因此,过去几年来,组织花费了大量资源和精力防范 外部的入侵而极少投资

8、于内网领域。实际上,据IDG的调查,企业的安全事件 在过去80%是因为内部安全管理的漏洞、内部人员的泄密等事件产生,仅仅有20%的事件是来自外部的攻击行为。在本解决方案中,重点围绕内网信息安全体系的建设提供参考意见,对于外 部入侵防护、硬件设备的安全等传统意义上的安全内容,本方案不做深入阐述。4 Chinasec可信网络安全平台系列产品的特点Chinasec可信网络安全平台系列产品是基于内网安全和可信计算理论研发 的内网安全管理产品,以密码技术为支撑,以身份认证为基础,以数据安全为核 心,以监控审计为辅助,可灵活全面地定制并实施各种安全策略,实现对内网中 用户、计算机和信息的安全管理,达到有效

9、的用户身份管理、计算机设备管理、 数据安全保密存储和防止机密信息泄漏等目标。Chinasec可信网络安全平台系列产品注重从信息的源头开始抓安全,对信息 的存储、交换和使用等环节实现全面保护,从而达到信息的全程安全,主要有以 下几方面的特点。 对内网原网络系统性能影响小。此产品体系完全基于TCP/IP协议网络, 不需要改变现有网络结构,支持远程管理,对原系统的性能影响很小。提供整体一致的内网安全解决方案,基于同一个管理平台,提供身份认 证、授权管理、数据保密和监控审计的完整互动安全策略。提供多种灵活的透明加密措施,根据用户需求可以进行文件加密、文件 夹加密、本地磁盘加密、移动存储设备加密和邮件智

10、能加密等。具备广域网和大用户数等大规模网络部署的架构和性能,支持多机热 备、负载均衡、分级管理和多级部署的功能。支持基于用户、计算机和控制内容的三要素策略设计思想,策略可以灵 活控制,针对不同的用户和不同的计算机可以实施不同的策略,支持权 限在内部信息网络中的漫游。紧扣国家保密局颁发的涉及国家秘密的信息系统分级保护管理办法, 支持对政府、军队和军工等涉密内网的分级分域管理。数据在同一个虚 拟保密子网(VCN)内可以正常相互交换,不同虚拟保密子网内数据交 换需要管理员授权,实现分域管理。不同保密级别的VCN可以根据需 要设置控制力度不同的保密策略,实现分级管理。 充分考虑和尊重一般企业既需要访问

11、互联网,又希望对核心数据进行保 护的需求,提供基于模式切换的解决方案,帮助用户有效实现既要上网 又要保密的目标,提供灵活的企业数据安全解决方案。提供了对移动存储设备的强大管理功能,提供针对移动存储设备的注 册、认证、策略控制和使用审计等措施。其中,策略控制支持禁用、只 读、加密和解密等方式,注册则可以基于用户、计算机和控制策略三要 素进行管理。提供丰富的授权管理内容,包括服务器访问、终端计算机使用、外设、 网络、应用程序和U盘使用等。支持丰富的日志审计、报表生成以及实时报警监控等功能,提供丰富的 管理手段。总之,Chinasec可信网络安全产品体系通过主动加密、事前控制、事中监视、 事后审计四

12、种手段相结合,可以达到外部入侵进不来、非法外接出不去、内外勾 结拿不走、拿走东西看不懂的效果,有效防止机密敏感信息的泄漏,为企事业单 位构建了一个可信可控的内网,确保“一切尽在掌控之中”。5 XX企业内网安全需求分析XX企业在进行信息网络建设的时候,对安全性做了成熟的考虑,但是主要 基于传统的网络安全,主要是边界防护设备、病毒防护等措施。随着分散在各个 内网主机和服务器上的有价值的信息越来越多,内网安全成为信息中心不得不重 视的问题,也已经成为各企业主要的安全威胁和建设任务之一。作为科技型企业, 万华企业的设计图纸、设计方案和其他电子文档形式的技术资料等都是公司的核 心知识产权,也是企业的核心

13、竞争力所在,随着业界竞争的加剧,这些重要数据 被泄密的风险越来越大,必须采用信息安全保密技术手段,结合企业保密管理制 度,对企业数字知识产权保护实现有效的保护。总体来说,客户端管理主要体现 在以下几个方面:5.1员工上网行为管理办公网内员工均允许访问Internet,但需要对员工上网行为进行管理。例 如:可以通过设置网址黑白名单进行网址访问控制;即时聊天工具(MSN、QQ)、 游戏等进程的黑白名单控制,严禁上班时间做与工作不相关的事情。5.2文件操作审计用户在终端计算机进行文件的操作应该有相应的审计日志,具体的操作内容 包括:文件的创建、删除、复制等操作,日志范围包括:无论在本机终端硬盘, 还

14、是在移动存储设备和网络映射方式均支持操作日志的审计。5.3客户端收发的邮件进行监控员工经常使用邮件进行数据交流,无论是使用SMTP代理还是WEB邮箱都要 求能审计到主题、收件人和附件等信息,作为事后审计的依据。5.4打印系统的监控在客户端经常需要打印一些文件,也有可能将涉密的信息打印出来扩散出去 形成数据泄密,这种情况也需要考虑。5.5移动存储设备的管理移动存储设备是另一个主要的信息传递通道。员工根据工作需要,经常会通 过U盘或移动硬盘等交换数据,这就大大增加了信息泄密的可能性。因此,必须 对内网中移动存储设备的使用进行统一的管理和授权:禁止不受信任的设备接入 内网;受信任的设备明确使用范围,

15、使其可以在指定范围内正常使用,但不能将 数据带出内网。5.6计算机软硬件资产审计,且生成报表对于每一台计算机的硬件配置和软件配置其管理人员不可能记得清清楚楚, 一旦使用者私自拆卸硬件或者软件,将会给企业造成损失,所以需要对软硬件资 产进行统计记录。并且为了管理方便,需要将相关信息以报表形式体现。5.7终端数据防泄密内网终端计算机存储着大量的公司核心数据,例如设计图纸、设计方案和其 他电子文档形式的技术资料等,必须采用技术手段对这些终端计算机进行保护, 防止重要数据泄漏。5.8内网安全管理制度和体系的建立建立严格和完善的内网安全管理制度是数字知识产权保护最根本也是最重 要的环节。良好的管理制度和

16、软件系统相配合,才能够建立真正安全的内网管理 体系。6解决方案6.1设计原则根据XX企业内网的规模和管理情况,本解决方案根据以下原则进行网络安 全管理平台的设计:1)平台应该统一规划,分步实施,实施各个阶段应该保持良好的衔接;2)平台与应用相关性应该尽可能低,支持应用系统的升级和新应用的扩 展;3)平台的选型必须是基于现有的成熟产品和系统,具有可靠的稳定性;4)平台应具有良好的可管理性和可维护性,有统一的管理中心;5)平台必须具有良好的易用性和兼容性,不会改变业务系统的主要结构, 也不会对业务系统的操作人员带来过多的习惯改变;6)平台应该符合国家制定的相关安全管理规范,取得相关资质。6.2 X

17、X企业内网安全解决方案通过以上的需求分析,我们针对XX企业的实际环境和安全要求,以Chinasec 可信网络安全平台作为技术支撑,提供最贴近万华企业的信息安全终端安全需求 的解决方案。6.3终端计算机集中式管理针对XX企业内部的终端采用Chinasec可信网络监控系统对内网计算机终端 进行集中的资源管理,并提供详细的审计记录,减少单位内网的安全漏洞和风险, 提高了管理效率。6.3.1员工上网行为管理可以针对网址和进程进行黑白名单控制,约束员工上网行为规范,并提供事 后审计依据(报表),有效的防止了员工在上班时间干部相关的工作(例如:炒 股、玩游戏等),同时,针对即时聊天工具(MSN、QQ)提供

18、聊天内容记录。6.3.2文件操作审计管理员根据需求监控用户在计算机的本地磁盘、移动存储设备、加密盘、网 络上的文件操作记录,包括用户名、文件名、操作时间、操作设备、文件创建、 复制、删除、重命名等操作信息,并提供详细的报表功能,供日后追查审计。6.3.3应用程序管理应用监控提供了管理员集中授权管理客户端应用的方法。管理员可以黑名单 或者白名单的方式授权,并且可以基于进程名称、服务名称或者窗口名称进行管 理。例如:管理员可以禁止各种与企业工作无关的软件运行,例如:QQ、MSN 软件等。由于采用了针对程序窗口名的监控方式,用户即使是修改了程序名也不 能避开系统的监控。6.3.4实时监控实时远程监视

19、和控制客户端计算机的状态,这些状态包括:安装的应用程序、 服务、驱动以及他们的运行状态;当前网络连接状态、打开的窗口、运行的进程、 系统的用户和用户组、共享目录、当前的屏幕截图等信息,并可以实时远程控制, 比如关闭某个打开的进程、服务或者窗口等。6.3.5刻录光驱的控制可以控制CD/RW光驱的刻录功能,设置光驱为只读,这样光驱只可以读盘 而不能刻录。防止通过刻录光盘随意刻录文件。6.3.6客户端收发的邮件进行监控无论客户端使用SMTP代理还是使用WEB方式发送邮件,均提供邮件的监 控功能,日志信息包括:发件人地址、收件人地址以及附件信息等内容。6.3.7打印系统的监控提供全方位的打印监控和管理

20、功能,监控信息包括:打印机名称,打印人, 打印电脑,打印时间等,对打印信息分用户,分日期进行统计查询,完善的管理 功能加上全面报表类型从费用、负荷等全方面反映打印情况。6.3.8移动存储设备的管理Chinasec可信网络系统可以实现对移动存储设备的有效管理。移动存储设备 使用规则用于解决可信计算平台内移动存储介质使用的精细管理,使可信计算平 台内移动存储设备的使用可以进行控制和审计。通过设置移动存储介质的使用信 息,可以将移动存储介质对应到管理部门、管理人、使用部门和使用人,从而使 移动存储设备的使用可以透明化。管理员设置未注册的移动存储设备采用什么使 用策略,对已经注册的移动存储设备采用什么

21、使用策略。例如:管理员可以设定未注册的移动存储设备(U盘或者移动硬盘等)默认 的使用策略,可选策略包括禁用(没有注册的磁盘禁止使用)、只读(可以将没 注册磁盘数据拷入到网内的计算机,但不能拷出数据)或者加密读写(所有写入 该未注册磁盘的数据自动加密,加密的数据只能在计算机所在的组内使用)。系 统默认是未注册的设备禁用。6.3.9计算机软硬件资产审计,且生产报表采用chinasec可信网络平台中的可信网络监控模块(MGT)下的软硬件 资产审计功能。软硬件资产审计:此功能会在客户端安装完毕之后自动扫描当前计算机软件 信息、硬件信息、系统信息等,这些信息会作为原始信息保留服务器端,一旦这 些信息有所

22、改动,将会自动生成一条记录信息,信息内容为:软件硬件资产改 动:添加删除XX,并且同时时间、用户名称、计算机名称等信息。此类型记录会保存到数据库中,当用户需要的时候会以报表的形式表现出来。6.4终端数据防泄密终端计算机上存储着大量的设计文档、图纸以及其他电子文档,经调查研究 发现,终端泄密是内网数据泄密的源头,只要将数据源头控制住,即可达到内网 数据防泄露。基于不同的管理模式和办法,ChinaSec提供两种终端数据防泄密方 案,可供选择,如下:6.4.1终端数据防泄密对核心知识产权的保护采用Chinasec可信数据管理系统对终端数据进行防 泄密处理,通过不同的模式切换达到数据保密的功能。通过提

23、供工作模式或普通 模式来改变客户端计算机的网络连接状态,为内网构造了一个安全的数据使用环 境。用户登录普通模式时可自由使用计算机,但不能接入到企业内部受管理的数 据服务器和业务系统之中以及可信数据区;切换到工作模式后,即进入保密数据 工作环境,此时只能接入内网受管理的数据服务器和业务系统以及可信数据区。模式切换Chinasec可信网络安全平台部署后,将内网的资源分为受控资源和非受控资 源。相对于受控资源(比如工作中的设计图纸等重要文件)和非受控资源(不涉 及设计图纸等重要信息的个人文件),Chinasec可信网络安全平台分为工作模式 和普通模式。在工作模式,授权计算机和用户可以访问和使用受控资

24、源,但不能 使用非受控资源;在普通模式,授权计算机和用户可以访问非受控资源,但不能 访问受控资源。通过模式切换,将受控资源和非受控资源使用环境进行了逻辑上 的隔离。在计算机开机的时候,自动进入普通模式。普通模式是一种非保密模式,用 户可以自由访问Internet外网,使用本地移动存储设备复制数据等,但是不能访 问内部的文件存储服务器、OA服务器、安全文件服务器和其他重要的企业数据 资源等,也不能访问本地硬盘上的可信数据区。可信数据区是一个安全的存储区 域,是本地硬盘的一部分,但是进行了加密和权限控制,用户仅在工作模式能够 访问该数据区,是工作模式下计算机本地的唯一数据存储区域。普通模式下,用

25、户可以上Internet、使用移动存储,并可以将数据存储在本地非可信区域中。如果用户需要开始工作,通过登录认证切换进入工作模式。一旦进入工作模 式,计算机终端将执行以下的操作:切断跟非受控网络资源,如Internet、外网和其他管理员未定义网络 连接。切断的方式是通过网络协议的加密重构实现,具有高度的安 全性保障。打开受控网络资源的连接权限,该计算机和用户可以访问管理员授 权的内部文件服务器、OA服务器、安全文件服务器以及其他内部 服务器等。切断本地非受控存储区域(可信数据区除外的所有存储设备)的存 储权限,但是保留读取权限。打开本地可信数据区,用户可以访问和自由使用可信数据区的数据。可以看到

26、,通过上述的模式切换,用户在工作模式下可以使用普通模式下的 硬盘中存储的数据,但不能将工作模式下的数据复制或者存储到普通模式下的非 受控存储区域。因为单位所有的核心数据都存储在服务器和可信数据区中,而服 务器和可信数据区都仅能在工作模式下使用,并且未经授权,没有任何途径可以 将数据带出工作模式的保密区域,从而对单位的核心数据实现了严格的保密措 施。可信数据区Chinasec可信网络安全平台部署后,在计算机本地硬盘空间会专门分配一个 特殊分区,作为可信数据区。可信数据区存储的数据都是加密的,并且仅在用户 登录工作模式的时候才能打开并正常使用,在普通模式、光驱启动或者另外的操 作系统下都无法访问该

27、数据区。可信数据区是用户在本地计算机存储保密数据的 唯一有效区域,该区域的数据不能通过网络、存储设备或者其他任何途径复制到 工作模式外的存储资源中区,受到严格的保密控制。6.5规范(文件审批)数据出口采用上述防泄密方案,能有效的控制内网终端数据的泄密问题,但是从实际 的业务流程和应用模式上来看,信息不是孤立的,同样需要有信息根据不同的应 用进行数据的传递和交换,在部署Chinasec可信安全平台之前,数据外发的途 径很多,那部署Chinasec可信安全平台之后,建立文档的审批(解密)流程规 范数据出口,这样既提高了数据的保密性以及易用性。当文件需要外带时可流转 到部门领导或者管理员处,由相关授

28、权人员审批解密以后通过网络或者U盘带 出单位,并保存相关的审计日志。6.6 Chinasec报表功能Chinasec报表系统的数据来源于Chinasec可信网络安全平台收集汇总的信 息。在报表系统中,将报表类型分为审计报表大类和审计报表细项,报表大类包 括:资产文字报表、资产图形报表、资产变更报表,移动存储设备使用报表,邮 件收发报表,打印分析报表等数十种报表类型,还支持通过用户组、IP地址、 日志类型等其他多种复合条件查询的功能,并提供丰富的图形报表,例如生成柱 状图,饼状图等。由于XX企业的计算机数量众多,需要报表系统提供强大的数据分析能力, 通过报表的数据分析,可以尽早的发现内网中存在的

29、问题,提供分析问题的依据。6.7支持在线和离线工作方式支持灵活的在线和离线工作方式,要求在连接不上服务器(出差、网络中断) 的情况下能正常工作,同时保证保密文件不被泄密。在线策略是指客户端计算机在Chinasec可信网络监控系统服务器的实时管 理网络中,能实时接受服务器的管理,比如接入单位内部网络的时候,这时候自 动启用在线策略。离线策略则是指客户端计算机不能接入服务器所在的网络的时 候,比如笔记本电脑出差或者带回家的时候,这时候客户端自动执行离线策略。 基于这两种策略模式,管理员可以根据用户计算机的不同环境设置不同的用户使 用策略,比如在单位(在线)设置宽松的策略,离开单位(离线)设置严格的

30、策 略。6.8防破解性能和其他监控审计产品和文档型加密产品相比,他们产品的重点在于事后审 计,其事前防范的能力有限,如果员工安装了双操作系统,那么很容易就可以避 开内网安全系统的监管。而文档加密产品,由于基于文件类型进行加密和区分, 采用了临时文件等技术,使得临时文件、剪贴板和内存等成为显著的安全漏洞, 很容易破解。以明朝万达的Chinasec可信网络安全平台为代表的综合内网安全 平台,则具更强的安全性和保密性,可以有效实现事情防范、事中监控和事后审 计的目标。6.9系统平台的安全性服务器安全: 服务器的连接和通信端口加密,并且需要进行认证;对于具有管理权限的控制连接,通过基于硬件USB令牌的

31、严格密码协 议进行通信;服务器的运行必须使用合法的授权令牌。客户端安全:为了确保客户端的安全和稳定运行,客户端程序具有良好的自保护措施,包括文件、进程及注册表的隐藏和保护,系统远程线程注入技术监 控和阻止试图破坏客户端代理的行为发生;有效防止用户私自卸载或恶 意破坏。客户端和服务器建立连接的时候,将采用双向认证机制,确保双方身份 的可信性。通信安全: Chinasec可信网络安全平台的通信系统采用了完全加密的机制,数据、 指令和策略的传输都是加密的,有效防止了窃听和篡改等欺骗破坏行为 的发生。管理安全:控制台是管理员对整个系统进行管理的接口,所以,对控制台登录用户 的身份认证采用了严格的规则,

32、即必须使用授权的硬件USB令牌与服 务器进行相互认证和通信,才能取得管理权限。分权制衡原则:管理员和审计员分别进行相关操作。审计员则对管理员的 所有操作进行详细的审计,确保管理员的所有动作符合单位的规定。通 过分权管理,一定程度上防止了管理员权力无限扩大可能带来的安全隐 患。6.10系统兼容性、扩展性Chinasec可信网络安全系统的服务器程序具有良好的兼容性,不需要安装其 他的第三方软件(例如:数据库)。直接安装软件就可以运行。对网络环境适应性强,特别是对安全级别要求较高的企业更好的体现,比如: 很多企业采用双网卡服务器连接两个不同的网络,这时我们的服务器可以很好的 支持,安装好我们的服务器

33、软件后,不需要任何配置,直接就可以正常使用。Chinasec可信网络安全平台上既包括终端审计的功能,又包括了防止终端数 据防泄漏的功能,因此,Chinasec可信网络安全平台具有良好的扩展性。6.11系统配置Chinasec可信网络安全平台是一个完全模块化的平台,几个独立的系统都 构建在共同的平台之上,具有良好的相互协调性。本方案根据用户的需求,推荐 以下最贴近XX企业需求的解决方案,由于加密推荐的两套方案,所以有两份模 块配置单,如下表所示:模块配置如下:序号模块名称备注1基本框架2可信网络数据管理系统(DMS)3 MGT基本包4 可信移动存储设备管理系统(RSM)6.12 Chinasec

34、可信网络安全平台6.12.1系统部署示意图6.12.2 Chinasec可信网络安全平台的结构Chinasec可信网络安全平台是所有产品共同的工作平台,其基本结构分为 服务器(Server)、客户端代理(Agent)和控制台(Management Console)三部 分,全部为软件系统。Chinasec可信网络安全平台的系列产品都运行在这个共同的平台上,使用 共同的服务器、共同的控制台和共同的核心客户端代理。它们的通信体系和通道 也是共同的,基于这个平台,Chinasec的全系列产品能够相互协调,并保证了 占用最少的系统资源和网络资源。服务器(Server)是可信网络安全平台的核心组成部分,

35、是所有策略的存储 中心,也是系统运行和维护的中心。在服务器上,存储着用户信息、计算机信息、 组织体系、策略信息及日志信息。服务器软件需要一个授权的硬件USB令牌,才 能够正常运行。Chinasec不同系统的服务器都使用共同的核心运行。客户端代理(Agent)运行在可信网络安全平台需要控制的计算机终端上, 该客户端代理采用安全的方式接收服务器(Server)的统一管理,接收服务器下 发的策略,并通知相应的功能模块执行。所有的Chinasec可信网络安全平台系 列产品的系统,其功能模块都通过平台的核心代理引擎与服务器进行通信。控制台(Management Console)是可信网络安全平台的用户界

36、面,用于实现 对服务器(Server)的远程管理,它是整个平台的控制中心,平台中的各个系统 都可以集中体现在该控制台中。控制台基于Windows标准的MMC技术,用户界面 友好。图3是一个典型的Chinasec可信网络安全平台基本架构。控制台只通过 服务器对客户端进行管理,跟所有客户端代理之间没有直接的通信连接建立。6.12.3 Chinasec可信网络安全平台的模块化功能Chinasec可信网络安全平台具备完全模块化的设计,平台上所有的系统, 都是以平台基本架构为核心进行模块化设计的。在服务器(Server)端,不同的系统需要向服务器注册不同的策略目录和功 能模块,服务器将通知控制台显示这些

37、新的系统或者功能模块,并提供管理员用 户界面。在客户端(Agent),不同的系统拥有不同的功能模块,这些功能模块注册到 客户端代理核心引擎上,并与服务器建立相应的通信,接收服务器下发的指令和 状态管理。Chinasec可信网络安全平台上每个系统的设计也是模块化的,即一个系统 可能由多个功能组成,每个功能都是独立的,可以接入到整个平台的架构中,从 而实现良好的模块化,也可以实现按需组合。Chinasec可信网络安全平台良好的模块化设计使得基于该平台的系列产品 具有更好的伸缩性,能够满足市场和用户千变万化的需求。6.13方案效果本方案实施后,将可以满足XX企业内网安全保护的需要,效果如下:1)内网

38、计算机和用户的邮件收发、打印情况、文件操作、优盘使用和其他 网络行为将被记录;2)仅授权计算机和授权人员可以访问公司核心保密数据;3)核心保密数据实施严格的控制,未经授权,不能通过任何途径将数据带出保密内网信息系统;4)授权人员可以将数据安全带出内网,但是其行为和操作将被记录;5)防止非法计算机接入网络,也可以防止内部计算机非法拨号外联导致的数据泄密;总之,通过chinasec可信网络安全平台既实现了终端安全审计,又可以 通过加密的手段,实现了对终端上数据保护的效果。7成功案例部分典型案例简介,截至2009.12月行业成功案例序号用户单位行业性质1广东电力企业企业所2吉林省基础地理信息中心企业

39、所3中色科技股份有限公司企业所4中科院微电子所企业所5成都市勘察测绘研究院企业所6中国科学院长春光学精密机械与物理研究所企业所7成都市市政工程设计研究院企业所8信息产业电子第十一设计研究院有限公司企业所9上海电气集团电机有限公司企业所10上海电气风电设备有限公司企业所11郑州市规划勘测设计研究院企业所12新疆军区司令部工程科研设计所企业所13大连市测绘院企业所14颖速装潢(上海)设计公司设计公司15国家海关总署政府部门16国家考试中心政府部门17山东省委政府部门18山东省工会政府部门19青岛市委政府部门20烟台边防局政府部门21中国工程物理研究院军工部门22解放军二炮某部军工部门23中国航天时

40、代电子集团军工部门24河南少林客车有限公司制造行业25长春长客一庞巴迪轨道车辆有限公司制造行业26山西通达集团运城汽车贸易有限公司制造行业27一汽解放青岛汽车制造行业28东风汽车股份有限公司制造行业29奇瑞汽车有限公司制造行业30江淮重工集团研究院制造行业31山西大运汽车制造有限公司制造行业32沈阳华晨金杯汽车有限公司制造行业33一汽夏利股份有限公司制造行业34台州宏利汽车零部件有限公司制造行业35中*匚环球电子(深圳)有限公司制造行业36深圳市众鸿汽车音响有限公司制造行业371R 1R 步步高制造行业38华帝燃具集团制造行业39鸿邦西厨设备制造有限公司制造行业40中联重科制造行业41江淮重工

41、集团制造行业42株洲南车电机股份有限公司制造行业43宇龙计算机通信科技(深圳)有限公司手机研发44龙旗科技有限公司手机研发45天綦手机研发46北京德信无线通讯科技有限公司手机研发47北京信威通信技术股份有限公司手机研发48联芯科技手机研发49北京比德创展科技有限公司手机研发50中船黄埔造船厂船舶行业51中船龙穴造船有限公司船舶行业52中船重工重庆液压机电有限公司船舶行业53中国银行总行金融行业54中国农业银行总行金融行业55上海农业银行上海分行金融行业56无锡华润微电子有限公司电子通讯57中兴通讯股份有限公司电子通讯58深圳万利达移动通信设备有限公司电子通讯8产品资质8.1国家保密局涉密产品认证ISSTEC200RYT0701北威勒也泣迷L技衣健公可敏证明饴国家保密人的陞求批准入闰家保* M涉密信息系统安仝保密测评M心标准涉及国家秘密的伯息系统网络安全协何拧制产品技术暇求谷有效期白2008竹打)和渺及国家秘招的信息M终端安全与文竹保护,林技术要求息系统安全保密测评中心检测,符合国家保密8.2军用信息安全产品认证、公安部产品认证、国家信息安全测评中

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号